|
===================================== 〔語彙分解〕的な部分一致の検索結果は以下の通りです。 ・ ー : [ちょうおん] (n) long vowel mark (usually only used in katakana)
フルディスクロージャ(英:full disclosure)とは、「脆弱性情報は、全ての情報が詳細に渡って(=full)一般に公表(=disclosure)されていなければならない」とする、セキュリティ哲学の一つである。 == 概要 == コンピュータセキュリティにおけるフルディスクロージャの動きが大きく取り上げられるようになったのは、メーリングリストBugtraq創設と時期を同じくする。この当時、ベンダーが自社製品の脆弱性情報を一般に公開することはほとんどなかった。また、脆弱性情報に関する外部団体としてはCERT/CCが挙げられるが、CERT/CCの当時の脆弱性情報公開ポリシーは「ベンダーに問合せを行い、ベンダーからの承諾を得て初めて公表する」「公表内容には、脆弱性に関する技術的詳細を含めない」というものであったため、メーカーが自社製品の脆弱性を修正する外圧とはなり得なかった。更には、個人で脆弱性情報を直接ベンダーに報告するケースもあったが、前述のように脆弱性情報に関しては「秘密主義」(Bugtraq-FAQでは「不透明なセキュリティ」と記されている)が当たり前であった時代においては、クレーマー同然に扱われることもあった。こうした事情から、脆弱性を持った機器類(ハードウェアとソフトウェアの双方)は、脆弱性を抱えたまま稼動しつづけ、たまたま一般に知られた脆弱性のみが秘密裏に対処される状況となっていた。 このような背景の中で脆弱性情報に関する議題を話し合う場として登場したメーリングリストがBugtraqであるが、それまで業界で標準的な考えであった「秘密主義」とは異なり、ここでは脆弱性情報、攻撃手法、さらにはその実行コードであるexploitまでもが投稿可能とされていた。ここで大きく取り上げられた脆弱性情報公開ポリシーがフルディスクロージャであり、その考えはBugtraq-FAQの中で以下のように述べられている。 この考えは、後述のように様々な方面に影響を与えることとなった。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「フルディスクロージャ」の詳細全文を読む スポンサード リンク
|